Glossary
Respuesta ante Incidentes
El proceso coordinado de detectar, contener, investigar y recuperarse de incidentes de seguridad y ataques cibernéticos.
Definición
Respuesta ante Incidentes (IR) es el proceso sistemático de manejar y recuperarse de incidentes de seguridad. En lugar de apagar fuegos, las organizaciones maduras tienen planes de IR documentados y equipos capacitados.
Fases de Respuesta ante Incidentes
Preparación
- Desarrollar planes y playbooks de IR
- Entrenar equipos de respuesta
- Implementar sistemas de detección
- Establecer canales de comunicación
Detección y Análisis
- Identificar que ha ocurrido un incidente
- Determinar alcance y naturaleza
- Alertar a las partes interesadas
- Comenzar investigación
Contención
- Prevenir daño adicional
- Detener al atacante de movimiento lateral
- Preservar evidencia
- Contención a corto plazo (aislar sistemas afectados)
- Contención a largo plazo (parchar vulnerabilidades)
Erradicación
- Remover atacante de sistemas
- Cerrar la vulnerabilidad que explotó
- Verificar que se haya ido completamente
- Prevenir reinfección
Recuperación
- Restaurar sistemas a operación normal
- Verificar que los sistemas estén limpios
- Monitorear signos de re-compromiso
- Volver a la operación normal
Actividades Post-Incidente
- Análisis forense
- Análisis de causa raíz
- Lecciones aprendidas
- Actualizar planes de respuesta ante incidentes
- Mejorar detección y prevención
Playbooks de Respuesta ante Incidentes
Los equipos de IR efectivos tienen playbooks documentados para tipos comunes de incidentes:
- Playbook de Incidente de Ransomware – Pasos específicos para responder a ransomware
- Playbook de Violación de Datos – Pasos para investigar y contener robo de datos
- Playbook de Amenaza Interna – Pasos para responder a insiders maliciosos
- Playbook de Compromiso de Cadena de Suministro – Coordinación con proveedores y clientes
Cada playbook incluye roles, plantillas de comunicación y árboles de decisión.
El Rol de la Inteligencia de Amenazas
La inteligencia de amenazas acelera la respuesta ante incidentes:
- Atribución de Actor de Amenaza – “¿Es este APT28 o un imitador?”
- TTPs Esperadas – “¿Qué técnicas usará probablemente este actor a continuación?”
- Brechas de Detección – “¿Qué debemos buscar que podría haber evadido la detección automatizada?”
- Contexto de Amenaza – “¿Qué tan urgente es este incidente dado el panorama actual de amenazas?”
Las organizaciones con inteligencia de amenazas madura responden más rápido y mejor que las que no.